Четвертого марта мы обнаружили, что наш продукт Linux Mail Security блокирует большое число необычных сообщений. Все письма содержали одно и то же вложение в формате PDF (MD5: 97b720519aefa00da58026f03d818251), однако были отправлены с разных электронных адресов.

Электронные письма были написаны по-немецки, причем большая часть из них была отправлена с немецких IP-адресов. На карте ниже показано географическое распределение этих адресов:

12 февраля 2013 года компания FireEye объявила об обнаружении эксплойта нулевого дня для Adobe Reader, применяемого для установки на компьютер ранее неизвестной сложной вредоносной программы. Мы дали новой вредоносной программе имя ItaDuke, потому что она показалась нам похожей на Duqu и потому что используемый ей шелл-код содержит цитаты из «Божественной комедии» Данте Алигьери на языке оригинала.

После публикации первого сообщения мы обнаружили несколько новых атак с применением того же эксплойта (CVE-2013-0640), в ходе которых на компьютерах жертв устанавливаются другие вредоносные программы. Среди обнаруженных атак наше внимание привлекла пара инцидентов, которые оказались столь необычными в некоторых отношениях, что мы решили проанализировать их глубже.

Вместе с нашим партнером CrySyS Lab мы выполнили подробный анализ этих необычных инцидентов. Результаты анализа указывают на появление новой, ранее неизвестной группы киберпреступников. Отчет CrySyS Lab о проведенном исследовании можно найти здесь. Наш анализ представлен ниже.

Основные результаты исследования:

• Организаторы атак с использованием MiniDuke по-прежнему активно действуют: известны образцы созданного ими вредоносного ПО, датируемые 20 февраля 2013 года. Для заражения компьютеров жертв злоумышленники использовали чрезвычайно эффективные методы социальной инженерии: целям атак отправлялись вредоносные PDF-файлы, содержание которых подбиралось очень тщательно и было чрезвычайно актуальным для потенциальных жертв. Это была сфабрикованная информация о семинарах по правам человека (ASEM), а также о внешней политике Украины и ее планах вступления в НАТО.

Компания Mandiant, специализирующаяся на защите от целевых кибератак, предупреждает о вредоносных рассылках, использующих как элемент spear-phishing атаки копию текста ее нового исследования о китайских хакерах.

Отчет Mandiant, опубликованный в середине февраля, содержит доказательства связи одной из наиболее активных хакерских группировок со спецподразделением Народно-освободительной армии Китая. По утверждению экспертов, эта группа китайских хакеров на протяжении многих лет занималась кибершпионажем и похитила сотни терабайт конфиденциальной информации у 140 иностранных организаций. В отчете также указаны свыше 3 тыс. характерных особенностей, позволяющих с уверенностью установить авторство данной группировки.

В самый разгар подготовки к новогодним праздникам злые хакеры решили выпустить в интернет эксплойт для новоиспеченной уязвимости CVE-2012-4792, которая затрагивает 32-битные браузеры Internet Explorer 6-8 во всех линейках Windows от Windows XP до Windows 7.

В злодеянии подозревают китайских хакеров, якобы совершивших атаку на сайт совета по международным отношениям. Подробности можно почитать вот здесь.

Нам удалось заполучить ссылку на работающий эксплойт и провести детальный анализ его работы.

Эксперты предупреждают о вредоносной рассылке, эксплуатирующей интерес широкой публики к предвыборным дебатам между кандидатами на пост президента США.

Спам-фильтры Websense отсеяли тысячи зловредных писем, замаскированных под новостной бюллетень CNN. Их заголовок гласит: “CNN Breaking News - Mitt Romney Almost President” (“Последние новости от CNN – Митт Ромни почти президент”). По свидетельству экспертов, все кнопки “Full story” (“Читать полностью”) в поддельной ленте “горячих” новостей, вставленной в тело спам-письма, ведут на сайты-редиректы, перенаправляющие получателя на эксплойт-площадки с новейшей версией Blackhole. Целью данной кибератаки является загрузка на машину жертвы версии ZeuS, использующей руткит режима пользователя.

Введение

Это описание атаки, которая разворачивается в Бразилии с 2011 года и эксплуатирует 1 уязвимость во встроенном ПО, использует 2 вредоносных скрипта и 40 вредоносных DNS-серверов; которая затронула 6 производителей вычислительной техники и из-за которой миллионы интернет-пользователей в Бразилии стали жертвами длительной, внешне ничем не проявляющей себя массовой атаки на DSL-модемы.

Мы покажем, как киберпреступники эксплуатировали невыявленную уязвимость, воздействуя на тысячи устаревших DSL-модемов по всей стране. В результате под атакой оказались сетевые устройства, принадлежащие миллионам частных и бизнес-пользователей; в течении нескольких месяцев распространялось вредоносное ПО, организовывались вредоносные перенаправления. На руку киберпреступникам играли повальное игнорирование проблемы интернет-провайдерами, ошибки, допущенные производителями «железа», безграмотность пользователей и безразличие к проблеме на официальном уровне.

Если вы полагаете, что вылечить все жертвы зловреда DNS Changer было «задачей не из легких», то оцените масштабы данной проблемы: всего атакой было затронуто 4,5 млн. модемов, и все в прекрасной солнечной Бразилии.

Чтобы снизить вероятность эксплойта свежей 0-day уязвимости в Internet Explorer, Microsoft предлагает установить новую версию своего инструмента Fix it. Это временное решение распространяется лишь на 32-битные версии IE. Внеочередной патч, закрывающий опасную дыру, планируется выпустить 21 сентября.

Помимо только что найденной уязвимости, которая уже эксплуатируется itw, грядущий пакет обновлений MS12-063 устранит еще 4 критические бреши в IE, связанные с проблемой удаленного выполнения кода. Новую версию Fix it, блокирующую выполнение некоторых скриптов, можно скачать на сайте техподдержки Microsoft. Фикс необязательно удалять после установки полноценной заплатки. Обновление, которому присвоен статус Critical, будет распространяться через Windows Update и другие стандартные каналы.

IE-уязвимость нулевого дня CVE-2012-4969 позволяет злоумышленнику через порчу памяти выполнить произвольный код в контексте текущего пользователя. Эксплойт запускается при заходе на специально сформированную страницу, куда пользователя могут заманить через ссылку в спам-письме или IM-сообщении. Брешь актуальна для Internet Explorer версий 9 и ниже, работающего под Windows XP, 7 или Vista.

О существовании 0-day уязвимости в IE стало известно в минувшие выходные, когда были обнародованы с результаты анализа нового эксплойта, найденного itw. Ввиду серьезности угрозы команда Metasploit поспешила обновить свою коллекцию, отметив, что риску подвержены 41% пользователей Северной Америки и 32% в остальных регионах. В начале недели эксперты AlienVault обнаружили еще несколько аналогичных эксплойтов, запущенных в Сеть.

Инициатором новой 0-day кампании предположительно является та же китайская криминальная группа, которая использовала Java-эксплойт нулевого дня, обнаруженный в конце августа (к CVE-2012-4681). По свидетельству AlienVault, основными мишенями злоумышленников являются предприятия оборонной промышленности США и Великобритании, а также сфера электроэнергетики. При отработке IE-эксплойта на машину пользователя устанавливается компонент удаленного администрирования ― Poison Ivy или PlugX.

Trend Micro опубликовала данные по кибератакам, использующим эксплойт-паки с новым Java-эксплойтом ― к CVE-2012-4681, уязвимости нулевого дня, обнаруженной в конце августа. Период исследования ― первые дни сентября

Эксплойт к CVE-2012-4681 был добавлен в коммерческие версии таких инструментов, как Blackhole, в течение суток после публикации новой опасной бреши в Java. Данная уязвимость связана с некорректной обработкой контроля доступа в рамках «защитных доменов». По оценке израильской security-компании Seculert, включение свежего 0-day эксплойта в состав Blackhole, на долю которого приходится свыше 85% эксплойт-пак площадок в интернете, повысило результативность этого комплекта в 2,5 раза. Патч к опасной бреши Oracle выпустила лишь 30 августа, спустя несколько дней после публикации.

Trend Micro как и ЛК, отслеживает и блокирует попытки эксплуатации CVE-2012-4681 с момента появления первых эксплойтов. В ходе одной из таких кибератак эксперты обнаружили свыше 300 доменов и более 100 серверов, используемых злоумышленниками для размещения страниц с эксплойтами. Около ⅔ этих доменов зарегистрированы в TLD-зонах .com (23%), .org, .net, .info и .ru (9%). Почти половина эксплойт-площадок были обнаружены на территории США, 27% ― в России. При этом ⅔ жертв нового Java-эксплойта ― американцы, остальные проживают, в основном, в странах Западной Европы, в том числе 10% в Германии, 7% в Италии.

По данным Trend Micro, потенциальные жертвы попадают на целевую площадку с набором эксплойтов разными путями: через спам, взломанный сайт-редирект, редирект с порноресурса, внешнюю ссылку или зловредный скрипт в контекстной рекламе. Спам-письма, зафиксированные Trend Micro в начале сентября, имитировали сообщения соцсети LinkedIn, антивируса, онлайн-сервиса eFax или службы денежных переводов Western Union. Все эти фальшивые послания были снабжены ссылками, ведущими на взломанный сайт, который перенаправлял пользователя на целевую страницу. Здесь выполнялся поиск уязвимостей в подключенной системе и, в случае успеха, активация надлежащего эксплойта.

Глубоко в одном из конфигурационных блоков Stuxnet заложена 8-байтовая переменная, которая содержит некое число, и если это число прочитать как дату, оно указывает на 24 июня 2012 года. А в действительности это день, когда подпрограммы распространения Stuxnet посредством LNK-файлов прекратили работу и перестали заражать USB-носители.

Недавно в поле нашего зрения попала интересная целевая атака, которая успешно обходила большинство антивирусных продуктов. Это рассылка, нацеленная на различных активистов, выступающих за независимость Тибета и за права человека. Атака показываетчто на проникновение в эти целевые группы было потрачено много усилий, поскольку эксплойт имеет уникальные характеристики, не свойственные прочим многочисленным эксплойтам, использующим уязвимость CVE-2012-0158. Вот как выглядят подобные письма: